很多分析程序的时候,我们会发现如果能读出目标程序运行到指定地址之后的寄存器数据的话,我们的工作会轻松很多。可是怎么能够读取出来呢?
要知道,寄存器的值是随着程序的运行而在不断做着改变的。
如果想要像使用调试工具一样读出寄存器的值的话,其实有2种方法。
第一种就是做个简易的程序调试器,在指定地址上下断点,让程序获取debug异常,读取寄存器数据。
第二种就是在程序运行到指定行数的时候加上我们自己的代码,读出我们想要的东西。
这种技术叫什么呢?
我也不是很清楚,反正是hook的一种吧。
关于这种hook的技术,用处挺大的,有了这个,可以说是 哈哈,只可意会。
下篇就讲讲怎么hook获取好了。
这篇就先到这里啦